Адекватная политика безопасности

Задача выбора и поддержания адекватной политики безопасности является одной из наиболее важных задач администратора операционной системы. Если принятая в операционной системе политика безопасности неадекватна, это может приводить к несанкционированному доступу поль­зователя-злоумышленника к ресурсам системы, а также к снижению на­дежности функционирования операционной системы. С другой стороны, не всякая адекватная политика безопасности применима на практике.

В общем случае верно следующее утверждение: чем лучше опера­ционная система защищена, тем труднее с ней работать пользовате­лям и администраторам. Это обусловлено следующими факторами.

1. Система защиты, не обладающая интеллектом, не всегда спо­собна определить, является ли некоторое действие пользователя злона­меренным. Поэтому система защиты либо не пресекает некоторые виды несанкционированного доступа, либо запрещает некоторые вполне ле­гальные действия пользователей. Чем выше защищенность системы, тем шире класс тех легальных действий пользователей, которые рассматри­ваются подсистемой защиты как несанкционированные. Например, если некоторому пользователю запрещено создавать файлы на жестком диске, этот пользователь не сможет запустить ни одну программу, которой для нормального функционирования необходимо создавать временные фай­лы. С точки зрения рассматриваемой политики безопасности создание временного файла является несанкционированным действием, и в том, что оно пресекается, нет ошибки. Просто в данной политике безопасности класс несанкционированных действий настолько широк, что это препятст­вует нормальной работе пользователей с операционной системой.

2. Любая система, в которой предусмотрены функции защиты ин­формации, требует от администраторов определенных усилий, направ­ленных на поддержание адекватной политики безопасности. Чем больше в операционной системе защитных функций, тем больше времени и средств нужно тратить на поддержание защиты.

3. Подсистема защиты операционной системы, как и любой другой программный пакет, потребляет аппаратные ресурсы компьютера. Чем сложнее устроены защитные функции операционной системы, тем больше процессорного времени, оперативной памяти и других аппаратных ресур­сов компьютера затрачивается на поддержание функционирования под­системы защиты и тем меньше ресурсов остается на долю прикладных программ. В отдельных случаях, например если в операционной системе поддерживается полномочное разграничение доступа с контролем инфор­мационных потоков, подсистема защиты операционной системы может потреблять более половины аппаратных ресурсов компьютера.

4. Поддержание слишком жесткой политики безопасности может не­гативно сказаться на надежности функционирования операционной систе­мы. Чрезмерно жесткая политика безопасности при­водит к моментальному краху операционной системы, или к трудновыявляемым ошибкам и сбоям в процессе функционирования операционной системы, что еще более опасно.

Таким образом, при определении адекватной политики безопасно­сти не следует пытаться достигнуть максимально возможного уровня за­щищенности операционной системы. Оптимальная адекватная политика безопасности - это такая политика безопасности, которая не только не позволяет злоумышленникам выполнять несанкционированные действия, но и не приводит к вышеописанным негативным эффектам.

Не существует единой адекватной политики безопасности на все случаи жизни. То, какая политика безопасности будет адекватной, опреде­ляется не только архитектурой операционной системы, но и ее конфигура­цией, установленными прикладными программами и т.д. Политика безо­пасности, адекватная для некоторой операционной системы, скорее всего, будет неадекватна для другого экземпляра той же операционной системы. Одна и та же операционная система может использоваться для обеспечения функ­ционирования и автоматизированной банковской системы, и Web-сервера, и системы электронного документооборота. Очевидно, что угрозы безо­пасности для этих применений операционной системы совершенно различны, и, следовательно, адекватная политика безопасности в каждом случае будет своя.

Определение и поддержание адекватной политики безопасности операционной системы в общем случае можно разделить на ряд этапов.

1. Анализ угроз. Администратор операционной системы рассмат­ривает возможные угрозы безопасности данного экземпляра операционной системы. Среди возможных угроз выделяются наиболее опасные, защите от которых нужно уделять максимум сил и средств.

2. Формирование требований к политике безопасности. Админи­стратор определяет, какие средства и методы будут применяться для за­щиты от тех или иных угроз. Администратор должен сделать подобный выбор для каждой угрозы безопасности операционной системы, выбирая опти­мальные средства защиты от каждой угрозы. Как правило, администратору приходится идти на компромисс, смиряясь либо с недостаточной защищенностью операционной системы от отдель­ных угроз, либо с определенными трудностями пользователей при работе с системой.

3. Формальное определение политики безопасности. Админист­ратор четко определяет, как конкретно должны выполняться требования, сформулированные на предыдущем этапе. Он решает, можно ли добиться выполнения этих требований только встроенными средствами операцион­ной системы или необходима установка дополнительных пакетов защиты. В последнем случае выбирается требуемое программное обеспечение. Результатом данного этапа является развернутый пере­чень настроек конфигурации операционной системы и дополнительных пакетов защиты с указанием того, в каких ситуациях какие настройки должны быть выставлены.

4. Претворение вжизнь политики безопасности. К началу этого этапа у администратора операционной системы имеется четкое представ­ление о том, какой должна быть адекватная политика безопасности. Зада­чей данного этапа является приведение конфигурации операционной сис­темы и дополнительных пакетов защиты в соответствие с политикой безо­пасности, формально определенной на предыдущем этапе.

5. Поддержание и коррекция политики безопасности. В задачу администратора входит контроль соблюдения политики безопасности и внесение в нее не­обходимых изменений по мере появления изменений в функционировании операционной системы.

Если операционная система сертифицирована по какому-либо классу защищенности некоторой системы стандартов, это вовсе не озна­чает, что информация, хранящаяся и обрабатывающаяся в этой системе, защищена согласно соответствующему классу. Защищенность операцион­ной системы определяется не только ее архитектурой, но и текущей поли­тикой безопасности.

Как правило, сертификация операционной системы по некоторому классу защиты сопровождается составлением требований к адекватной политике безопасности, при неукоснительном выполнении которой защищенность конкретного экземпляра операционной системы будет соответ­ствовать требованиям соответствующего класса защиты,

Для примера рассмотрим некоторые требования к конфигурации операционной системы Windows NT, которые должны вы­полняться для соответствия защищенности операционной системы классу С2 " Оранжевой книги":

• загрузка компьютера невозможна без ввода пароля;

• на жестких дисках используется только файловая система NTFS;

• запрещено использование паролей короче шести символов;

• запрещена эмуляция OS/2 и POSIX;

• запрещен анонимный и гостевой доступ;

• запрещен запуск любых отладчиков;

• тумблер питания и кнопка RESET недоступны пользователям;

• запрещено завершение работы операционной системы (shutdown) без входа пользователя в систему;

• политика безопасности в отношении аудита построена таким образом, что при переполнении журнала безопасности операционная система прекращает работу (зависает). После этого восстановление работосп­особности системы может быть произведено только администратором;

• запрещено разделение между пользователями ресурсов сменных носителей информации (флоппи-дисков, CD-ROM и т.д.);

• запись в системную директорию и файлы инициализации операционной системы разрешена только администраторам и си­стемным процессам.